华为交换机如何识别arp攻击

篇一：华为交换机防ARP攻击配置手册

ARP防攻击配置

下表列出了本章所包含的内容。

3.1 ARP地址欺骗防攻击

3.1.1 ARP地址欺骗防攻击简介

ARP协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。 对于静态配置IP地址的网络，目前只能通过配置静态ARP方式防止ARP表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；

?

对于动态配置IP地址的网络，攻击者通过伪造其他用户发出的ARP报文，篡改网关设备上的用户ARP表项，可以造成其他合法用户的网络中断。

?

图3-1 ARP地址欺骗攻击示意图

如图3-1所示，A为合法用户，通过交换机G与外界通讯：攻击者B通过伪造A的ARP报文，使得G设备上A的ARP表项中的相应信息被修改，导致A与G的通讯失败。

对于动态ARP地址欺骗攻击方式，S9500系列交换机可通过以下方法进行防御。 1. 固定MAC地址

对于动态ARP的配置方式，交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改，直到此ARP表项老化之后才允许此ARP表项更新MAC地址，以此来确保合法用户的ARP表项不被修改。 固定MAC有两种方式：Fixed-mac和Fixed-all。

Fixed-mac方式；不允许通过ARP学习对MAC地址进行修改，但允许对VLAN和端口信息进行修改。这种方式适用于静态配置IP地址，但网络存在冗余链路的情况。当链路切换时，ARP表项中的端口信息可以快速改变。

?

Fixed-all方式；对动态ARP和已解析的短静态ARP、MAC、VLAN和端口信息均不允许修改。 这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。

?

2. 主动确认（Send-ack）

交换机收到一个涉及MAC地址修改的ARP报文时，不会立即修改原ARP表项，而是先对原ARP表中与此MAC地址对应的对应用户发一个单播确认：

如果在一定时间内收到原用户的应答报文，说明原用户仍存在，则在后续一分钟时间内不允许对此ARP表项进行MAC地址修改；同样，ARP表项在新生成一分钟时间内，也不允许修改此ARP表项中的MAC地址；

?

如果一定时间内没有收到原用户的应答报文，则对新用户发起一个单播请求报文，收到新用户的应答报文之后才修改ARP表项，使新用户成为合法用户。

?

主动确认方式可以适应动态分配IP地址、有冗余链路的网络。

3.1.2 ARP地址欺骗防攻击配置

表3-1 ARP地址欺骗防攻击配置

3.2 ARP网关冲突防攻击配置

3.2.1 ARP网关冲突防攻击简介

图3-2 ARP网关冲突攻击示意图

ARP网关冲突攻击，指攻击者仿冒网关地址，在局域网内部发送源IP地址是网关地址的免费ARP报文。局域网内部的主机接收到该报文后，会修改自己原来的网关地址为攻击者的地址，最终导致局域网内部所有主机无法访问网络。 为解决此问题，S9500交换机引入了ARP网关冲突防攻击的功能。S9500交换机收到到与网关地址冲突的ARP报文时，如果存在下列情况之一：

?

ARP报文的源IP与报文入接口的IP地址相同；

ARP报文的源IP是NAT地址池的地址或内部服务器的地址；

?

VRRP虚MAC方式时，ARP报文的源IP是入接口的虚拟IP地址，但ARP报文源MAC不是VRRP虚MAC。

?

则系统生成ARP防攻击表项，在后续一段时间内对收到具有相同以太网头部源MAC地址的报文直接丢弃，这样可以防止与网关地址冲突的ARP报文在VLAN内的广播转发。

3.2.2 ARP网关冲突防攻击配置

注意：

ARP网关冲突防攻击能够检测并防止与VLAN接口地址、VRRP虚地址和NAT地址池的冲突；

?

交换机检测到网管口上存在地址冲突时，只记录日志信息，不能阻止攻击发生；

?

交换机工作在VRRP实MAC地址的情况下，检测到冲突后记录日志信息，不能阻止攻击发生。

?

表3-2 ARP网关冲突防攻击配置

3.3 ARP报文防攻击配置

3.3.1 ARP报文防攻击简介

ARP协议没有任何认证机制，极易遭受到各种方式的攻击。ARP报文攻击就是其中常见的一种，通过采用固定源MAC地址发送大量ARP报文，影响交换机对正常ARP报文的学习。

S9500交换机具有防源MAC地址的ARP报文攻击的功能。在一段时间内，如果交换机收到固定源MAC地址的ARP报文数目达到设定阈值，则认为使用该MAC地址的用户在进行ARP攻击，系统会下发防攻击表项对该MAC地址进行过滤。系统下发防攻击表项后，该用户将无法正常访问网络。

3.3.2 ARP报文防攻击配置

表3-3 ARP报文防攻击配置

? 说明：

如果接口板的CPU没有收到任何报文，则接口板的ARP防攻击

表项不会老化；

?

ARP防攻击表项没有老化时，与ARP防攻击表项中具有相同MAC地址的动态MAC地址表项也不能老化；

??

网管口不支持ARP报文防攻击功能。

3.4 ARP防攻击配置举例

1. 组网需求

Switch1是S9500系列交换机，通过端口Ethernet 1/1/1和端口Ethernet 1/1/2连接低端交换机Switch2和Switch3。

?

Switch1下挂PC1、Switch2下挂PC2、PC3，且PC2、PC3属于同一个网段；Switch3下挂PC4、PC5，且PC4、PC5同属于另外一个网段。

?

PC1中病毒后，会发出大量ARP攻击报文，部分ARP报文源IP地址在本网段内不停变化，部分ARP报文源IP和网关IP地址相同；PC4用户构造大量源MAC地址固定的ARP报文对网络进行攻击。Switch1能够防止PC1和PC4的攻击。

?

2. 组网图

篇二：华为低端交换机ARP攻击的处理

ARP攻击的处理：

1 故障现象

网管段设备ping不通交换机下挂的设备，但登陆交换机可ping通下挂设备，查看cpu利用率 ，达到50%以上（正常情况下低于20%），再查看交换机端口状态，存在有端口in方向流量远远高于out方向流量，且以广播包为主，可能该端口下有设备中毒而对交换机进行arp攻击。

2 故障处理

2.1 应急处理

应急处理：交换机进入该端口，输入broadcast-suppression 1，broadcast-suppression命令用来在接口下设置广播风暴抑制比，输入命令后，抑制比为1%。

2.2抓包处理

1、抓包确定攻击源。

进入隐含模式：

[DCN_GuoDa_S3528_1]_

检查CPU是否有丢包：

[DCN_GuoDa_S3528_1-hidecmd ] ip showvar

Run mode 3 gDrvRtListHead 17fac58 g_ulDrvRtNum 1973 g_ulDefaultRtID 0

g_pstCurRef 2764188 g_pstArpShadowHead 1a3d1e4 g_pstArpHead 1a45564

g_ulARPNum 80 g_ulRtID 291 g_ulCurID 223 g_pusArpIndexMng 3af6c7c

g_usArpIndexStackTop 80 g_ulNextHopNum 4096 g_ulDropID 16 g_ulTrapID 17

g_bNSFull 0 g_uc_HashLen 8 g_ulTrapID_2 18 g_ulCoreAPIErrCounter 227419

g_ulMulticastErr 0

ulQueueTotallimit 300, 200, 300, 300, 300, 300, 300, 300

ulQueueTotalCounters 0, 8, 12, 95, 0, 2, 0, 1 //共8个队列，有计数标识某个队列有丢包。

查看增长较快的队列的上CPU报文，在用户视图下debug ni packet receive queue #，其中队列号#范围为0-7，如果远程登陆，可能会看到telnet本身的报文，这时可以通过debugging ni packet exclude-telnet命令过滤telnet报文，如： <Quidway>debugging ni packet exclude-telnet

<Quidway>terminal debugging

<Quidway>terminal monitor

将抓到的包编辑成标准的报文格式：如下

0000: ff ff ff ff ff ff 00 25 86 21 8d af 81 00 00 14

0010: 08 06 00 01 08 00 06 04 00 01 00 25 86 21 8d af

0020: 01 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00

0030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0000: ff ff ff ff ff ff 00 25 86 21 8d af 81 00 00 14

0010: 08 06 00 01 08 00 06 04 00 01 00 25 86 21 8d af

0020: 01 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00

0030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

通过Ethereal把CPU打印出来的报文格式转化为抓包工具能够识别的报文。具体操作为：

1、把.txt文件放到ethereal安装目录C:\Program Files\Ethereal下面

2、进入命令行（CMD）状态，进入路径C:\Program Files\Ethereal（和工具text2pcap.exe在同一个文件夹下面）

3、执行命令text2pcap xxx.txt xxx.cap，生成xxx.cap

获得发送不断发送arp报文的主机mac地址。

2、 针对攻击源进行处理

[YQ_WangKong_Lan] disp mac-address 0027-193E-F32F vlan 246

MAC ADDRVLAN ID STATE PORT INDEX AGING TIME

0027-193e-f32f246 Learned Ethernet0/22 AGING

在全局命令下输入启用ACL

rule 0 deny ingress 0025-8621-8daf 0000-0000-0000 egress anyrule 1 deny ingress 0027-1948-53f5 0000-0000-0000 egress any

进入相应端口下，启用acl访问控制列表

packet-filter inbound link-group 4002

另外：交换机开启免费报文上报的功能可能也会引起cpu利用率偏高，可关闭 undo gratuitous-arp-learning enable

篇三：华为交换机防止仿冒网关ARP攻击配置实例

华为交换机防止仿冒网关 ARP 攻击配置实例作者：未知 文章来源：转贴 点击数：1059 更新时间：2007-7-3 16:27:00 二层交换机实现仿冒网关的 ARP 防攻击：一、组网需求：1. 二层交换机阻止网络用户仿冒网关 IP 的 ARP 攻击二、组网图：图 1 二层交换机防 ARP 攻击组网S3552P 是三层设备， 其中 IP： 100.1.1.1 是所有 PC 的网关， S3552P 上的网关 MAC 地址为 000f-e200-3999。 PC-B 上装有 ARP 攻击软件。现在需要对 S3026C_A 进行一些特殊配置，目的是过滤掉仿冒网关 IP 的 ARP 报文。三、配置步骤

对于二层交换机如 S3026C 等支持用户自定义 ACL(number 为 5000 到 5999)的交换机，可以配置 ACL 来进行 ARP 报文过滤。全局配置 ACL 禁止所有源 IP 是网关的 ARP 报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中 rule0 把整个 S3026C_A 的端口冒充网关的 ARP 报文禁掉，其中斜体部分 64010101 是网关 IP 地 址 100.1.1.1 的 16 进制表示形式。Rule1 允许通过网关发送的 ARP 报文，斜体部分为网关的 mac 地址 000f-e200-3999。注意：配置 Rule 时的配置顺序，上述配置为先下发后生效的情况。在 S3026C-A 系统视图下发 acl 规则：[S3026C-A] packet-filter user-group 5000这样只有 S3026C_A 上连网关设备才能够发送网关的 ARP 报文，其它主机都不能发送假冒网关的 arp 响应报文。三层交换机实现仿冒网关的 ARP 防攻击一、组网需求：1. 三层交换机实现防止同网段的用户仿冒网关 IP 的 ARP 攻击二、组网图

图 2 三层交换机防 ARP 攻击组网三、配置步骤1. 对于三层设备，需要配置过滤源 IP 是网关的 ARP 报文的 ACL 规则，配置如下 ACL 规则：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0 禁止 S3526E 的所有端口接收冒充网关的 ARP 报文，其中斜体部分 64010105 是网关 IP 地址 100.1.1.5 的 16 进制表示形式。2. 下发 ACL 到全局[S3526E] packet-filter user-group 5000仿冒他人 IP 的 ARP 防攻击一、组网需求：作为网关的设备有可能会出现错误 ARP 的表项，因此在网关设备上还需对用户仿冒他人 IP 的 ARP 攻 击报文进行过滤。二、组网图：

参见图 1 和图 2三、配置步骤：1. 如图 1 所示，当 PC-B 发送源 IP 地址为 PC-D 的 arp reply 攻击报文，源 mac 是 PC-B 的 mac (000d-88f8-09fa)，源 ip 是 PC-D 的 ip(100.1.1.3)，目的 ip 和 mac 是网关(3552P)的，这样 3552 上就会学习到 错误的 arp，如下所示：--------------------- 错误 arp 表项 -------------------------------IP Address MAC Address VLAN ID Port Name Aging Type 100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic 100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic从网络连接可以知道 PC-D 的 arp 表项应该学习到端口 E0/8 上，而不应该学习到 E0/2 端口上。但实际 上交换机上学习到该 ARP 表项在 E0/2。上述现象可以在 S3552 上配置静态 ARP 实现防攻击：arp static 100.1.1.3 000f-3d81-45b4 1 e0/82. 在图 2 S3526C 上也可以配置静态 ARP 来防止设备学习到错误的 ARP 表项。3. 对于二层设备(S3050C 和 S3026E 系列)，除了可以配置静态 ARP 外，还可以配置 IP+MAC+port 绑 定，比如在 S3026C 端口 E0/4 上做如下操作：am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4则 IP 为 100.1.1.4 并且 MAC 为 000d-88f8-09fa 的 ARP 报文可以通过 E0/4 端口，仿冒其它设备的 ARP 报文则无法通过，从而不会出现错误 ARP 表项。四、配置关键点：此处仅仅列举了部分 Quidway S 系列以太网交换机的应用。在实际的网络应用中，请根据配置手册确

认该产品是否支持用户自定义 ACL 和地址绑定。仅仅具有上述功能的交换机才能防止 ARP 欺骗。实际配置时注意偏移量的值，如不清楚请咨询华为售后工程师。6503 交换机配置实例：acl number 5000 rule 0 deny 0806 ffff 24 0a4e0401 ffffffff 40 rule 1 permit 0806 ffff 24 000fe218ded7 ffffffffffff 34interface GigabitEthernet1/0/9 description Connect-to-Vlan4_S3928TP_1_G1/1/1 duplex full speed 1000 port link-type trunk port trunk permit vlan all qos packet-filter inbound user-group 5000 rule 0 system-index 1 packet-filter inbound user-group 5000 rule 1 system-index 23900 系列交换机配置实例：acl number 5000 rule 0 deny 0806 ffff 16 0a4e0401 ffffffff 32 rule 1 permit 0806 ffff 16 000fe218ded7 ffffffffffff 32 rule 2 deny 0806 ffff 16 00142a6cf8f4 ffffffffffff 32 rule 3 deny 0806 ffff 16 0a4e04ba ffffffffffff 32

《华为交换机如何识别arp攻击》出自：百味书屋
链接地址：http://www.850500.com/news/34010.html
转载请保留,谢谢!